基于數據挖掘技術(shù)的入侵檢測系統

1 引言
隨著(zhù)計算機網(wǎng)絡(luò )不斷發(fā)展，各種問(wèn)題也隨之產(chǎn)生，網(wǎng)絡(luò )安全問(wèn)題尤為突出。傳統的入侵檢測技術(shù)包括濫用檢測和異常檢測。其中，濫用檢測是分析各種類(lèi)型的攻擊手段，找出可能的“攻擊特征”集合，可有效檢測到已知攻擊，產(chǎn)生誤報較少，但只能檢測到已知的入侵類(lèi)型，而對未知的入侵類(lèi)型無(wú)能為力，需要不斷更新攻擊特征庫；而異常檢測的假設條件是通過(guò)觀(guān)察當前活動(dòng)與系統歷史正?；顒?dòng)情況之間的差異可實(shí)現攻擊行為的檢測。其優(yōu)點(diǎn)是可檢測到未知攻擊，缺點(diǎn)是誤報和漏報較多。針對現有網(wǎng)絡(luò )入侵檢測系統的一些不足，將數據挖掘技術(shù)應用于網(wǎng)絡(luò )入侵檢測，以Snort入侵檢測系統模型為基礎，提出一種新的基于數據挖掘的網(wǎng)絡(luò )入侵檢測系統模型。

2 數據挖掘在入侵檢測系統中的應用
數據挖掘技術(shù)在入侵檢測系統(IDS)中的應用，主要是通過(guò)挖掘審計數據以獲得行為模式，從中分離出入侵行為，有效實(shí)現入侵檢測規則。審計數據由經(jīng)預處理、帶有時(shí)間戳的審計記錄組成。每條審計記錄都包含一些屬性(也稱(chēng)為特征)，例如，一個(gè)典型的審計日志文件包括源IP地址、目的IP地址、服務(wù)類(lèi)型、連接狀態(tài)等屬性。挖掘審計數據是一項重要任務(wù)，直接影響入侵檢測的精確性和可用性，常用的挖掘方法有關(guān)聯(lián)性分析、分類(lèi)、序列分析等。
(1)關(guān)聯(lián)性分析關(guān)聯(lián)分析就是要發(fā)現關(guān)聯(lián)規則，找出數據庫中滿(mǎn)足最小支持度與最小確信度約束的規則，即給定一組Item和一個(gè)記錄集合，通過(guò)分析記錄集合推導出Item間的相關(guān)性。一般用信任度(confidence)和支持度(support)描述關(guān)聯(lián)規則的屬性。關(guān)聯(lián)分析的目的是從已知的事務(wù)集W中產(chǎn)生數據集之間的關(guān)聯(lián)規則，即同一條審計記錄中不同字段之間存在的關(guān)系，同時(shí)保證規則的支持度和信任度大于用戶(hù)預先指定的最小支持度和最小信任度。
(2)分類(lèi)映射一個(gè)數據項到其中一個(gè)預定義的分類(lèi)集中，它輸出“分類(lèi)器”，表現形式是決策樹(shù)或規則。在入侵檢測中一個(gè)典型的應用就是，收集足夠多的審計數據送交用戶(hù)或程序，然后應用分類(lèi)算法去學(xué)習分類(lèi)器，標記或預測新的正?；虍惓５牟豢梢?jiàn)審計數據。分類(lèi)算法要解決的重點(diǎn)是規則學(xué)習問(wèn)題。
(3)序列分析用于構建序列模式，以發(fā)現審計事件中經(jīng)常存在的時(shí)間序列。這些經(jīng)常發(fā)生的事件模式有助于將時(shí)間統計方法應用于入侵檢測模型。例如，如果審計數據中包含基于網(wǎng)絡(luò )的拒絕服務(wù)攻擊DOS(Denial of Service Attack)行為．由此得到的模式就要對在這一時(shí)間段內工作的每個(gè)主機和每項服務(wù)進(jìn)行檢測。